نشاط التهديد السيبراني الإيراني قد وصل إلى مستوى حرج حيث أصدرت وكالة الأمن السيبراني وأمن البنية التحتية (CISA) تحذيرات عاجلة بشأن ضعف قطاعات المياه والطاقة في الولايات المتحدة. تشير المعلومات الاستخباراتية الأخيرة إلى أن التهديد السيبراني الإيراني يقوم الآن بتسليح الوصول الشبكي القائم لاستغلال وحدات التحكم المنطقية القابلة للبرمجة الصناعية، وهو تطور يدل على تصعيد كبير في التهديد السيبراني الإيراني على المستوى العالمي.
فهم التهديد السيبراني الإيراني الحالي للبنية التحتية
قامت وكالة الأمن السيبراني وأمن البنية التحتية (CISA) وغيرها من الوكالات الأمريكية مؤخرًا بنشر إشعار استشاري سيبراني يحذر من التهديد السيبراني الذي يشكله القراصنة الإيرانيون على البنية التحتية الحيوية في الولايات المتحدة. تتناول هذه الأسئلة الحرجة التهديد السيبراني العام الذي تشكله إيران على البنية التحتية الحيوية للولايات المتحدة فيما يتعلق بالصراع، وحالة ضعف الأمن السيبراني الأمريكي.
س1: ما هو آخر ما توصلت إليه الحرب الإيرانية من منظور سيبراني؟
A1: في الآونة الأخيرة، نشرت وكالة الأمن السيبراني وأمن البنية التحتية (CISA) وغيرها من الوكالات الأمريكية إشعارًا تحذيريًا بشأن التهديد الذي يشكله الفاعلون المرتبطون بإيران على البنية التحتية الحيوية في الولايات المتحدة، حيث يُعتقد أن العديد منهم مرتبطون بفيلق الحرس الثوري الإسلامي.
حذرت CISA من أن الحوادث السيبرانية التي تستغل الثغرات في وحدات التحكم المنطقية القابلة للبرمجة (PLCs) – وهي أنواع من الحواسيب التي تتحكم في المعدات أو الآلات الصناعية وتراقبها – قد تسببت في تعطيل عدد غير محدد من المنظمات الأمريكية عبر عدة قطاعات حيوية (بما في ذلك الحكومة المحلية والمياه والطاقة)، حيث حصلت على وصول غير مصرح به إلى الأنظمة وتلاعبت بالبيانات المعروضة على الشاشات. على الرغم من عدم تأكيد عدد الضحايا، أفاد الإشعار بأن الحوادث أدت إلى تعطيل العمليات وخسائر مالية.
يُعتقد أن الفاعلين الذين يقفون وراء هذه الحوادث هم مجموعة “CyberAv3ngers”، التي تقدم نفسها كمجموعة “هاكتيفست”، لكنها في الواقع يُعتقد أنها تهديد مستمر متقدم مرتبط بالقيادة الإلكترونية السيبرانية لفيلق الحرس الثوري الإسلامي.
تتمتع هذه المجموعة بتاريخ من المبالغة في هجماتها وتأثيرها، بهدف إثارة الفتنة كهدف رئيسي لها. في هذه الحالة، من غير المرجح أن تكون الحوادث السيبرانية نفسها قد كانت متطورة بشكل خاص، حيث استغلت ثغرات أساسية موجودة في الأهداف. استجابةً لذلك، حثت CISA هذه القطاعات على تطبيق تدابير أمنية متنوعة لتقليل خطر المزيد من الاختراقات، في غياب أي تحديث برمجي متاح لإصلاح الثغرة الأساسية التي تمكن الفاعلون من استغلالها.
تُعتبر هذه الحوادث الأحدث في سلسلة من الأنشطة السيبرانية الإيرانية خلال النزاع. وقد اتجهت التغطية الإعلامية إلى التركيز على الأنشطة السيبرانية الأكثر تعطيلًا أو ذات البروفايل العالي، مثل الهجوم السيبراني على شركة الإمدادات الطبية الأمريكية Stryker، واختراق رسائل البريد الإلكتروني لمدير مكتب التحقيقات الفيدرالي كاش باتيل، أو خرق بيانات شركة لوكهيد مارتن الذي يُعتقد أنه مرتبط بالهاكتيفست الإيرانيين. في الواقع، كانت الأنشطة السيبرانية الإيرانية خلال هذا النزاع أوسع بكثير من مجرد التعطيل، ويمكن تصنيفها إلى أربعة أنواع:
التعطيل الانتهازي، من قبل الدولة الإيرانية أو الفاعلين المرتبطين بالدولة، على الأهداف الأمريكية والإقليمية. التجسس السيبراني لتقييم الأضرار الناتجة عن المعارك أو لإبلاغ الأنشطة الحركية، مثل اختراق كاميرات الأمن في إسرائيل، وجمع المعلومات لإبلاغ الاستهداف الحركي، أو استخدام برامج التجسس ضد المواطنين الإسرائيليين مت disguised كأداة لتحديد مواقع ملاجئ القنابل. التمركز المسبق، أو إنشاء وصول أو موطئ قدم في شبكات جديدة أو منظمات ضحية لاستخدامها في وقت لاحق. العمليات المعلوماتية المدعومة سيبرانيًا، بما في ذلك اختراق الإعلانات الرقمية في محطات السكك الحديدية الإسرائيلية، بهدف إثارة الخوف بين السكان المحليين.
تحليل التهديد السيبراني الإيراني لقطاعات المياه والطاقة
س2: ماذا يعني هذا للبنية التحتية الحيوية في الولايات المتحدة؟
ج2: تعتبر البنية التحتية الحيوية هدفًا جذابًا بشكل خاص للعمليات السيبرانية خلال النزاع: فهي توفر وسيلة غير متكافئة للرد على الخصم. يستهدف الهجوم على البنية التحتية الحيوية نشر الخوف وعدم الثقة في السكان المحليين المعتمدين على تلك البنية التحتية، وكما يعرف الإيرانيون جيدًا، فإنها تحمل قيمة رمزية عالية من خلال إظهار القدرة على الوصول إلى دولة وتعطيل بعض من أهم أنظمتها.
الهجمات المفصلة في إشعار CISA أثرت بشكل خاص على قطاعات المياه والطاقة، بسبب وجود وحدات التحكم المنطقية القابلة للبرمجة (PLCs) في شبكاتها. لدى إيران تاريخ طويل في استهداف هذه القطاعات والاختراق في التكنولوجيا التشغيلية في بنية الولايات المتحدة التحتية ودول أخرى.
يعود هذا التاريخ إلى عام 2013، عندما تمكن قراصنة إيرانيون من الوصول إلى أنظمة سد صغير خارج مدينة نيويورك (على الرغم من التأثير التشغيلي المحدود)، كما تمكنوا أيضًا من الوصول إلى أنظمة وبيانات شركة Calpine، واحدة من أكبر منتجي الطاقة في كاليفورنيا. الطرق الموضحة في إشعار CISA تحمل أوجه تشابه مع الهجمات السيبرانية المرتبطة بإيران ضد مرافق المياه الأمريكية في نوفمبر 2023، والتي استهدفت وحدة تحكم من إنتاج شركة إسرائيلية، Unitronics، حيث قام القراصنة بتشويه المعدات رقميًا، وعرضوا على الشاشات الرسالة: “لقد تم اختراقكم، تسقط إسرائيل.”
ومع ذلك، فإن التهديد للبنية التحتية الحيوية في الولايات المتحدة يتجاوز إيران بكثير. لقد كافحت الحكومة الأمريكية لطرد الفاعلين السيبرانيين الصينيين المستمرين، مثل Salt Typhoon، من شبكات الاتصالات الأمريكية، على الرغم من وجودهم في هذه الشبكات منذ عام 2021-2022 على الأقل، حيث تمكن نفس الفاعلين أيضًا من اختراق شبكات الحرس الوطني الأمريكي.
في القطاع العام، أعلنت مكتب التحقيقات الفيدرالي مؤخرًا عن “حادثة كبيرة” عند اكتشاف نشاط خبيث على نظام داخلي يتعلق بعمليات المراقبة. كما أن البنية التحتية الحيوية في الولايات المتحدة ليست محصنة أيضًا ضد المجرمين السيبرانيين؛ فقد تعرضت مرافق المياه في جميع أنحاء الولايات المتحدة منذ فترة طويلة لهجمات برامج الفدية، بينما تم تصنيف قطاع الرعاية الصحية كأكثر القطاعات استهدافًا من قبل برامج الفدية في تقرير مكتب التحقيقات الفيدرالي لعام 2025. وبالتالي، فإن الخطر يكمن في أنه بينما تسعى الولايات المتحدة لمتابعة حملتها ضد إيران، فإنها تفعل ذلك مع خلفيتها مفتوحة على مصراعيها أمام فاعلين سيبرانيين خبيثين وقادرين.
A3: لقد ظلت البنية التحتية الحرجة في الولايات المتحدة في حالة ضعف لعقود، تكافح لتأمين الشبكات والأصول الرئيسية عبر عدة قطاعات. الغالبية العظمى من البنية التحتية الحرجة في الولايات المتحدة مملوكة للقطاع الخاص. وتتكون من أنظمة معقدة ومجزأة على نطاق واسع – وهو عامل تعقده العدد الكبير من مشغلي البنية التحتية الحرجة على المستويين الحكومي والمحلي في الولايات المتحدة.
تظل الوعي بالتهديدات والمخاطر السيبرانية متباينًا بشكل كبير عبر مختلف قطاعات البنية التحتية الحرجة، دون مساعدة من حقيقة أن الموارد (سواء كانت تمويلًا، أو موظفين ذوي مهارات، أو خبرة) من الحكومة الفيدرالية كانت محدودة النطاق. وفي العديد من الحالات، تعتمد هذه الأنظمة على تكنولوجيا قديمة تم تصميمها دون مراعاة للأمان، أو لا تزال تستخدم تكنولوجيا المعلومات القديمة (الأجهزة أو البرمجيات التي لم يعد يدعمها مصنعها) التي تعاني من ثغرات تقنية معروفة وسهلة الاستغلال.
معًا، أدت هذه العوامل إلى عدم تنفيذ تدابير أساسية للأمن السيبراني عبر البنية التحتية الحرجة في الولايات المتحدة، حيث تكفي الهجمات السيبرانية ذات المستوى المنخفض لاختراق الدفاعات السيبرانية الضعيفة. ومن المتوقع أن تزداد هذه الدرجة من الضعف الفطري سوءًا في مواجهة نماذج الذكاء الاصطناعي المتقدمة مثل Mythos، إذا وقعت في أيدي دول خبيثة أو مجرمين سيبرانيين.
تعترف إدارة ترامب بهذه الدرجة من الضعف الفطري؛ حيث تشير استراتيجيتها الوطنية للأمن السيبراني التي نُشرت مؤخرًا إلى تأمين البنية التحتية الحرجة كواحدة من ست أولويات لتعزيز الدفاع السيبراني. ومع ذلك، فإن أولوياتها وبلاغتها لا تتماشى مع الواقع.
تحت إدارة ترامب الثانية، شهدت الولايات المتحدة فجوات في القيادة؛ تخفيضات في الوكالات الرئيسية (بما في ذلك CISA ومكتب مدير الاستخبارات الوطنية، أو ODNI) ووظائفها الداخلية التي تشارك أو تدمج المعلومات مع القطاع الخاص؛ خسائر في التمويل لمراكز تبادل المعلومات، والولايات والسلطات المحلية، وتوقفات في التشريعات الحيوية لتبادل المعلومات؛ وتوقعات بتقليص التمويل الفيدرالي للأمن السيبراني في أحدث اقتراح ميزانية، مع توقع خسارة CISA لمبلغ إضافي قدره 707 مليون دولار في التخفيضات.
وعلى الرغم من أن تقييم التهديد السنوي لعام 2026 من ODNI يعترف بأن الفاعلين السيبرانيين من الدول والمجرمين سيستمرون في “طرح تهديدات حرجة لشبكات الولايات المتحدة والبنية التحتية الحرجة”، فإن المدير المؤقت لـ CISA قد صرح حتى أنه لا يمكن لـ CISA القيام بأنشطة التواصل والاستعداد اللازمة لمواجهة التهديدات السيبرانية في ظل الإغلاق المستمر لوزارة الأمن الداخلي. في مواجهة خصوم قادرين وأنظمة ضعيفة للغاية، فإن النظرة المؤسسية قاتمة.
النية الاستراتيجية وراء التهديد السيبراني الإيراني
Q4: ماذا تخبرنا هذه الهجمات عن قدرات إيران ونواياها؟
A4: هناك خمس ملاحظات مهمة يمكن أن نستخلصها من العمليات السيبرانية الإيرانية في النزاع حتى الآن، ومن نصيحة CISA:
تمثل هذه الأنشطة زيادة متوقعة – وإن كانت طفيفة – في العمليات السيبرانية التي تقوم بها إيران ضد الولايات المتحدة. وتوفر دليلاً مهماً على أن إيران بدأت في تسليح الوصول الموجود لديها بالفعل إلى الشبكات المستهدفة عبر الولايات المتحدة، في هذه الحالة، يعود إلى يناير 2025. ومن المحتمل أن تقوم إيران بمزيد من هذه الأنشطة كوسيلة لاستهداف أهداف مستقبلية.
يعمل الفاعلون السيبرانيون الإيرانيون في منطقة راحتهم. تتناسب الأنشطة المحددة في نصيحة CISA مع سجل إيران في استهداف مرافق المياه والطاقة في الولايات المتحدة، وعادة ما تستخدم طرقاً ذات مستوى منخفض من التعقيد تستغل الثغرات الأساسية في الأنظمة المتصلة بالإنترنت.
حيثما كان الفاعلون السيبرانيون الإيرانيون نشطين، فإنهم منتشرون عبر مجموعة من العمليات السيبرانية التي تخدم الأهداف الاستراتيجية الأوسع لإيران في هذا النزاع وتجاوز مجرد التعطيل، بما في ذلك التجسس والوصول وعمليات المعلومات. لقد كانت إيران – ومن المحتمل أن تستمر – مقيدة بعدة عوامل، بما في ذلك تدهور القدرات السيبرانية بسبب إغلاق الإنترنت وفقدان الاتصال؛ وفقدان شخصيات قيادية في المجال السيبراني بسبب الضربات الجوية الإسرائيلية المزعومة؛ وقدرات حركية تثبت أنها أسرع وأكثر تأثيراً من العمليات السيبرانية الهجومية.
لقد كانت إيران متسقة بشكل ملحوظ في نشاطها السيبراني خلال هذا النزاع حتى الآن مقارنة بفترات السلم، وحتى المنافسة العادية مع إسرائيل والولايات المتحدة. وهذا يعني أنه من المحتمل جداً أن تستمر الجهات الفاعلة الإيرانية الحكومية أو الوكيلة في استهداف البنية التحتية الحيوية الأمريكية مع استمرار النزاع.
Q5: ماذا يعني هذا فعلياً فيما يتعلق بالنزاع الأوسع، ومن الذي يحقق النصر في الحرب السيبرانية؟
A5: لا يحقق أي من البلدين النصر في “الحرب السيبرانية”، وفي أي حال، فإن عبارات مثل الحرب السيبرانية غير مفيدة في تشويه الدور الذي تلعبه القدرات السيبرانية في الحروب المعاصرة. تماماً كما هو الحال في النزاع المستمر بين روسيا وأوكرانيا، لا تصبح العمليات السيبرانية المجال الرئيسي أو ساحة المعركة في النزاع لأنها صعبة للغاية في تقديم الحسم في الحرب.
بدلاً من ذلك، تكمن قيمتها بشكل أفضل في التجسس السيبراني ولأغراض دفاعية خلال النزاع، خاصة بالنظر إلى المدة التي تستغرقها مثل هذه القدرات المدروسة للتحضير.
بدلاً من ذلك، فإن استخدام إيران للعمليات السيبرانية المزعزعة، والتجسس، وعمليات المعلومات المدعومة بالسيبرانية كلها تخدم السعي لتحقيق الأهداف الاستراتيجية الأوسع لإيران: لإظهار القوة ضد خصومها الإقليميين والعالميين؛ لدعم وإبلاغ نشاطها العسكري؛ ولدعم جهودها في الإكراه الاقتصادي في مضيق هرمز. لقد أصبحت القدرات السيبرانية بالنسبة لإيران في النهاية مُمكّناً لإظهار القوة، مما يمنحها وسيلة غير متكافئة للوصول إلى ما يتجاوز قدرتها، بينما تزيد الضغط على الدول المشاركة في النزاع.
Q6: ماذا يجب أن تتوقع الولايات المتحدة وحلفاؤها في المستقبل؟
A6: كما كتب المؤلف في أماكن أخرى، فإن هذه الأنواع من الهجمات، على الرغم من طبيعتها المزعجة، تمثل مستوى قياسيًا من “الضجيج” في الصراع العام؛ على الرغم من أنها تسبب أضرارًا محلية للضحايا، إلا أنها من غير المرجح أن تغير المسار العام للصراع.
هذا لا يعني أن الحكومات والشركات وحتى المواطنين يمكنهم تخفيف حذرهم – في الواقع، على العكس من ذلك. على الأرجح، ستستهدف الحكومات والمنظمات في الولايات المتحدة وإسرائيل والدول الشرق أوسطية من قبل فاعلين سيبرانيين يعملون لصالح إيران أو متماشين معها خلال الأسابيع والأشهر القادمة. إن التسبب في أضرار جانبية للشركات والمنظمات في دول أخرى هو بالضبط ما تسعى إليه إيران، كوسيلة لزيادة الضغط على قادتها.
كما أنه من الضروري أن ينظر صانعو السياسات والمحللون إلى ما هو أبعد من الصراع الفوري. كانت دوافع إيران للقيام بأنشطة سيبرانية ضد الولايات المتحدة مرتفعة بالفعل قبل أن تحدث هذه الحملة؛ والآن، سيكون لدى إيران شهية أقوى للانتقام.
وتلوح في الأفق نقاط استراتيجية مهمة على أفق الولايات المتحدة: كأس العالم في يونيو والانتخابات النصفية في نوفمبر. نظرًا للطبيعة البارزة لكلا الحدثين – وسجل إيران في اختراق البنية التحتية الأمريكية قبل اللحظات الاستراتيجية أو خلال التوترات الجيوسياسية – من المحتمل جدًا أن تُعتبر هذه الأحداث أولويات استراتيجية لموارد إيران السيبرانية، بما في ذلك جمع المعلومات الاستخباراتية، وربما، الأنشطة السيبرانية المزعزعة.
تجعل هذه اللحظات الاستراتيجية القادمة من الضروري أكثر أن تضمن الحكومات والشركات وغيرها من المنظمات في جميع أنحاء العالم أن لديها تدابير وممارسات أساسية للأمن السيبراني، بالإضافة إلى ممارسات قوية لاستمرارية الأعمال من أجل التعافي السريع.
إن القيام بذلك يضيق من مساحة الهجوم لاستهداف الفرص من قبل فاعلي التهديد السيبراني الإيرانيين ويقلل من قدرة إيران (ووكيلها) على إسقاط القوة من خلال الضحايا الأمريكيين – خاصة إذا عاد المزيد من فاعلي التهديد إلى الإنترنت في الأشهر القادمة. ومن المهم أيضًا أنه يجعل الأمر أكثر صعوبة على الدول الأخرى والمجرمين السيبرانيين الذين يسعون لاستغلال نفس المنظمات لمصلحتهم الخاصة.